当前位置:文档之家› 网络安全实验5-ICMP欺骗(重定向)攻击

网络安全实验5-ICMP欺骗(重定向)攻击

网络信息安全综合实验教程v3.6.2(第三册),网络攻防,实验6 欺骗攻击, 练习1
注意事项
实验学习:2学时 独立完成。 攻击机可以是LINUX(需要使用netwox) 实验报告需要注明实验环境和主机配置信息, 注意分析捕获的数据包。
参考:
TCP/IP攻击实验(ARP,ICMP,SYN,RST, TCP会话劫持)
6.2 ICMP重定向攻击
ICMP重定向攻击的危害
改变对方的路由表 与ARP欺骗类似,ICMP重定向攻击也可以用来 做嗅探、拒绝服务或中间人攻击等 基于ICMP重定向的数据监听不受交换环境的限 制。
6.2 ICMP重定向攻击
ICMP重定向攻击的局限性
ICMP重定向攻击一次只能指定一个目的地址 新路由必须是直达的 重定向包必须来自去往目标的当前路由 重定向包不能通知主机用自己做路由 被改变的路由必须是一条间接路由
ICMP重定向攻击
ICMP中定向改变受害方的路由表 可以用来做嗅探、拒绝服务或中间人攻击等(属于欺骗攻击, 与ARP欺骗类似)
5.2 ICMP重定向攻击
ICMP重定向原理:
当路由器检测到主机在启动时具有一定的路由信息, 但不一定是最优的 路由器检测到IP数据报经非优路由传输,就通过 ICMP重定向报文通知主机去往该目的地的最优路径
受害者
ICMP重定向
默认网关 攻击者
1、基于ICMP重定向的“半中间人 Nhomakorabea监听 实验过程:
虚拟机构造攻击环境,如图。 注意观察受害者主机中路由表的变化。
工具netwox86(Linux)可以实施ICMP重定向攻击 cain等软件监听受害者发送的数据包。
2、基于DNS和ICMP重定向的监听
ICMP报文
查询报文 地址掩码请求和应答
路由器询问和通告
5.1 ICMP攻击类型
ICMP超时攻击
利用ICMP超时消息,攻击防火墙。 发送TTL=n的包,当它到达防火墙时正好TTL=0,当发 送大量的此类包时就可能构成DDOS攻击。
ICMP头部攻击
ICMP包中净荷部分是出错的IP头部,当这里的目的地址与 ICMP包中的源地址不匹配时,数据包出问题。
MAC首部14B
新IP首部20B
ICMP首部8B
原IP首部20B
传输层前8B
ICMP协议栈封装图。共70字节。
5.2 ICMP重定向攻击
之后A通过R1向B发送数据包
R1
A B
R2路由器会发现 R4 这个问题,并用 R2 ICMP信息包通 R3 知数据包的来源 A→B最佳路由是R1路由器,A将数 端设备,称为重 据包送到R2路由器 定向
攻击原理:
通过2次ICMP重定向实施监听攻击: 第一次,受害者DNS请求经过攻击者主机。攻击者在受害者 主机中添加一条到达DNS服务器的特定路由指向攻击者主机; 第二次,受害者访问WWW经过攻击者主机。攻击者通过给 受害者主机发送ICMP重定向报文,使得通往在DNS应答报 文中获取的IP地址的访问都经过攻击者主机。从而监听受害 者的通信过程,截获敏感信息。
网络安全实验
实验5 ICMP欺骗(重定向)攻击
实验5 ICMP(欺骗)重定向攻击
5.1 5.2 5.3 5.4 ICMP攻击类型 ICMP重定向攻击 实验目的 实验内容
5.1 ICMP攻击类型
ICMP的报文类型
差错报告报文 目的不可达 源站抑制 超时 参数问题 重定向 回送请求和应答 时间戳请求和应答
2、基于DNS和ICMP重定向的监听
实验过程:
在虚拟机中构造实验场景,路由器通过主机来模拟(添加网 卡,路由和远程访问),安装WWW服务器和DNS服务器 (可选)。 用软件TeasPacket或netwox发送ICMP重定向报文,用 wireshark捕获数据包分析。 用netstat -r查看主机路由表。 实验过程可以参考:
6.3 实验目的
1、了解ICMP重定向原理和攻击原理; 2、熟悉ICMP重定向攻击的实现过程和危害。
6.4 实验内容
1、基于ICMP重定向的“半中间人”监听 2、基于DNS和ICMP重定向的监听
1、基于ICMP重定向的“半中间人”监听
攻击原理:
攻击者通过伪造ICMP重定向报文欺骗受害者,使得受害者 主机的路由表中增加一条指向攻击者主机的路由,从而攻击 者可以截获受害者发送的报文,但是返回给受害者的报文不 经过攻击者。攻击者只能监听到从一个主机到网关的通信, 因此叫“半中间人”。
功能:
保证主机拥有动态的、既小且优的路由表
限制:
ICMP重定向机制只能在同一网络的路由器与主机之 间使用
5.2 ICMP重定向攻击
ICMP重定向攻击报文
Type =5 Code =1 Checksum 路由器IP地址(被定向到的新网关接口IP地址) 网络层20字节|传输层8个字节
6.2 ICMP重定向攻击
ICMP重定向攻击的防范
修改系统和防火墙配置,拒绝接收ICMP重定向报 文 在Windows 2000里可修改注册表 HKLM\SYSTEM\CurrentControlSet\Ser vices\Tcpip\ParametersEnableICMPRe directs REG_DWORD 0x0(默认值为0x1) 通过route print命令来查看本机的路由表
5.2 ICMP重定向攻击
ICMP重定向攻击原理
攻击者通过发送ICMP重定向报文可以在受害者 主机路由表中添加一条到达特定主机的路由信息, 使得受害者发往特定主机的数据包被发往攻击者 主机,攻击者进而实施监听、欺骗等攻击行为。 ICMP重定向攻击中,受害者和攻击者处于同一 网络环境中。 核心是欺骗路由表。通过添加特定路由表实施。 特定主机路由优先级高于默认路由。 (能不能修改默认路由表?)
相关主题